発見した脆弱性リスト
心臓に悪いので本当は見つけたくないんだけど……
2020年
とあるゲームの公式WebサイトにおけるXSS脆弱性 が、今回は単体のWebサイトなので「脆弱性が修正されるまでの間」となる
今回の場合は脆弱性が既に修正済みのため適用されない
ので公開していい(はず)
2021年
2024年
DiscordのiOSアプリでアクティビティのURLに制約がない ($750)
前提: Discordのアクティビティは *.discordsays.com のリバースプロキシを経由してホストされており、このリバースプロキシで Discord の関連サーバー以外へのリクエストができない CSP などの制約が付与されている
これの裏側はアクティビティの作者のサーバーにプロキシされている
Webおよびデスクトップ版の Discord は discord.com がさらに frame-src の制約付き CSP を配っている
ので、例えば <a href="https://example.com">test</a> をアクティビティ内に書いて押させても CSP で弾かれる
が、なんか iOS アプリ版には相当する制約がなかった
ので、上記 HTML を iOS アプリから押すと普通に開ける
とはいえ普通の WebView なのでそんな変なことはできない
少なくともアプリバージョン 230.0 では修正済み、disclose request も通っているので公開しても問題はないはずだが Discord が HackerOne の private org 的な機能を使っているせいか HackerOne 上で公開できないのでこちらで公開